引言:
那么,什么是蜜罐技術(shù)?
蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù),通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對(duì)它們實(shí)施攻擊,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī),能夠讓防御方清晰地了解他們所面對(duì)的安全威脅,并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。
例如,MHN現(xiàn)代蜜網(wǎng)就簡(jiǎn)化了蜜罐的部署,集成了多種蜜罐的安裝腳本,可以快速部署、使用,也能夠快速的從節(jié)點(diǎn)收集數(shù)據(jù)。并且蜜罐高保真高質(zhì)量的數(shù)據(jù)集把安全人員從以前海量日志分析的繁瑣過程中解脫出來,對(duì)于蜜罐的連接訪問都是攻擊信息,并且不再像以前的特征分析具有一定的滯后性,可以用于捕獲新型的攻擊和方法。
雖然MHN簡(jiǎn)化了各蜜罐的部署過程,但還是需要手動(dòng)安裝多個(gè)系統(tǒng)sensor來實(shí)現(xiàn)多個(gè)不同蜜罐。小編為大家推薦一個(gè)更簡(jiǎn)單方便的平臺(tái)供讀者研究/使用蜜罐。
一、ISO文件下載
項(xiàng)目地址(可以詳細(xì)了解一下):
https://github.com/dtag-dev-sec/tpotce
下載鏈接(標(biāo)準(zhǔn)ISO文件,33MB):
https://github.com/dtag-dev-sec/tpotce/releases/download/19.03.1/tpot.iso
二、創(chuàng)建一臺(tái)VMWare 虛擬機(jī)(版本:15)
Red Hat Enterprise linux 7(64位),1CPU,4G內(nèi)存,65G硬盤,ISO文件掛載
三、開機(jī),開始部署
1、選擇“T-Pot 19.03.1”
2、地區(qū)選擇“Other”->“Asia”->“China”
3、自動(dòng)獲取IP或獲取失敗就手動(dòng)設(shè)定IP/掩碼/網(wǎng)關(guān)/DNS
4、選擇“China”->“mirrors.163.com”(下載不成功可換另一個(gè))
5、開始安裝基礎(chǔ)系統(tǒng)(大約需要20分鐘)
6、選擇“STANDARD Honeypots,ELK,NSM & Tools”(到這步要等很久)
7、設(shè)定tsec(用戶名固定)的密碼;
8、設(shè)定WEB用戶的用戶名(例如abc);
9、設(shè)定WEB用戶的密碼;
10、 開始安裝,過程有點(diǎn)漫長(zhǎng)需要幾個(gè)小時(shí),安裝完畢將顯示控制臺(tái)界面。;
四、登陸控制臺(tái)
1、使用tsec和密碼登陸系統(tǒng)(可以不登陸);
五、登陸ADMIN界面
1、https://ip:64294,可登陸ADMIN界面,使用tsec和密碼進(jìn)行登陸;
注意:要選擇“重用我的密碼以執(zhí)行特權(quán)任務(wù)”,否則權(quán)限不足,無法管理容器,如下圖所示。
2、查看系統(tǒng)信息,注意右上角要顯示“有特權(quán)的”
3、查看容器和管理容器(各蜜罐均基于容器運(yùn)行,默認(rèn)全部運(yùn)行。)
4、帳號(hào)管理(默認(rèn)有root和tsec帳戶,root帳戶不可用于Admin登陸)
5、終端(可以對(duì)服務(wù)器進(jìn)行維護(hù),包括查看容器信息等)
六、登陸WEB界面
1、https://ip:64297,可登陸WEB界面,使用安裝時(shí)設(shè)定的用戶名和密碼進(jìn)行登陸;
不能使用IE瀏覽器,Chrome瀏覽器好象也不行,要使用版本較新的FireFox瀏覽器。
2、儀表盤、T-POT和強(qiáng)大的搜索功能;
六、部分蜜罐的交互界面
六、結(jié)束語
1、蜜罐部署完成后變更量幾乎為零,僅需定時(shí)接收和查看警告信息即可;
2、蜜罐均提供日志查詢功能,無論是WEB界面還是日志文件;
3、開源蜜罐功能強(qiáng)大,初期部署需投入較多的人力成本,筆者也是抽空部署和簡(jiǎn)單研究了一下,希望后續(xù)有朋友提供更詳盡的相關(guān)手冊(cè)。
